Sony BMG canjeará los discos con anticopia XCP
Sony BMG calcula que se han vendido 2,1 millones de discos XCP - La discográfica no ha editado ningún disco en España con esta protección, pero pueden tenerla los ejemplares importados
Tras semanas de polémicas y denuncias de los internautas, la discográfica Sony BMG anunció la semana pasada que canjeará gratuitamente todos los discos que contengan el sistema anticopia XCP. Sony ha publicado los 52 títulos que llevan incorporado este sistema, que vulneraba la seguridad del ordenador, y remitirá un nuevo CD sin programa anticopia o permitirá la descarga de un archivo MP3 desde una web que ha abierto a tal fin. Sony ha iniciado la retirada del mercado de los polémicos discos. Más de 27.000 ordenadores en España podrían tener, sin saberlo sus dueños, un importante agujero de seguridad por haber introducido en ellos un CD de música protegido con el nuevo sistema anticopia de Sony BMG. Reconocidos expertos han avalado el análisis estadístico de Dan Kaminsky para cuantificar el alcance del defectuoso sistema anticopia.
El sistema anticopia introduce en los ordenadores con Windows aplicaciones invisibles que puede permitir espiar las tareas del usuario. El programa conectaba vía Internet con la web de la discográfica. Kaminsky ha seguido el rastro de estas conexiones para concluir que hay 568.200 redes en el mundo con, al menos, un ordenador afectado. Según Sony se han vendido 2,1 millones de discos con esta protección.
El portavoz de Sony BMG han afirmado a Ciberp@ís que no se ha editado ningún disco en España con esta protección, ya que estaba previsto empezar a aplicarla el año que viene, pero es posible que tiendas y grandes almacenes que venden material de importación hayan distribuido CD defectuosos.
Sony puso en marcha su polémico sistema anticopia en marzo de 2005, pero el escándalo no saltó hasta finales de octubre, cuando Mark Russinovich, un reconocido experto en Windows, notó que su ordenador iba más lento y descubrió que algo o alguien le había introducido un rootkit.
Un rootkit son diversas herramientas usadas por un atacante para tener acceso a un ordenador y permanecer escondido en él, sin que lo sepa el usuario ni lo detecten los programas de seguridad, de forma que puede entrar siempre que quiera. Russinovich descubrió que al escuchar en su ordenador Get right with the man, de Van Zant, el sistema anticopia del CD, llamado Extended Copy Protection (XCP) y desarrollado por la empresa First 4 Internet, le había instalado el rootkit sin avisar. Éste creaba diversas carpetas ocultas, en las que podía esconderse un virus o un intruso sin peligro de ser detectado. El sistema no incluía un programa de desinstalación, por lo que Russinovich lo borró manualmente. Resultado: su reproductor de CD dejó de funcionar y tuvo que reformatear el equipo.
El 31 de octubre, Russinovich lo contó en su weblog y empezó la tormenta de críticas contra Sony BMG, que primero lo negó. Después, un portavoz de la compañía le quitó importancia: "La gente no sabe lo que es un rootkit, por tanto no les interesa". El 3 de noviembre, Sony ofrecía una herramienta para desinstalar el XCP, que en realidad sólo borraba el rootkit. y, además, introducía nuevos archivos en el sistema.
Los usuarios se quejaron de que el procedimiento para obtener al desinstalador era complicado. Entre otras cosas debían mandar su dirección de correo electrónico a Sony, que se reservaba el derecho a usarla para enviarles publicidad. Días después, la compañía ofrecía un auténtico desinstalador del XCP. Para acceder a él, había que cumplimentar también un formulario.
El problema era serio y varios expertos se encargaron de demostrarlo. Lo hicieron los programadores de virus, creando diversos troyanos, difundidos por correo electrónico, que se escondían en las carpetas creadas por el rootkit en los ordenadores afectados.
Acciones legales
El profesor de la universidad de Princeton, Edward Felten, explicó en su weblog que los formularios para acceder al programa desinstalador y a la actualización, instalaban un controlador ActiveX, llamado CodeSupport, en el ordenador del usuario. Este controlador estaba mal configurado y permanecía activo en el navegador Internet Explorer cuando se visitaban otras webs, creando un agujero de seguridad que permitía que desde estas webs se pudiesen coger archivos o colgar el ordenador.
Se iniciaron acciones legales en California, Nueva York e Italia. Empresas antivirus como Computer Associates, Sophos y Symantec, o de cortafuegos, como ZoneAlarm, anuncian programas para detectar y desinstalar el sistema anticopia. Microsoft dice que las nuevas versiones de sus productos de seguridad lo considerarán programa espía y lo borrarán.
El 11 de noviembre, Sony BMG anunció que suspendía temporalmente la fabricación de CDs con tecnología XCP. La empresa publicaba en su web una carta, en la que echaba la culpa a la empresa creadora del software, First4Internet, y aseguraba que retiraría los CDs del mercado y los cambiaría a quienes los hubiesen comprado. La compañía negaba que espiase a los usuarios: "El reproductor del disco muestra un banner que usa técnicas web estándar para comunicarse con un servidor de Sony BMG, para mostrar contenido web relacionado con el título específico del CD, no para monitorizar su actividad en línea".
Este reproductor, que el usuario debe usar obligatoriamente si quiere escuchar el CD, ha traído también polémica, ya que contiene código de un programa libre llamado Lame, sin especificarlo en su licencia. Otra crítica contra Sony ha venido de su negativa, durante quince días, a especificar qué CDs estaban afectados, lo que aumentaba el desconcierto y la incertidumbre entre los usuarios. Finalmente, la compañía publicaba la lista de 52 títulos de artistas como Celine Dion, Chayanne o Neil Diamond.
A la hora de escribir estas líneas, no existe ninguna herramienta que elimine totalmente el sistema XCP, ya que el 15 de noviembre Sony retiró su desinstalador, a la espera de ofrecer otro más seguro.
A la sombra de esta polémica, han aparecido nuevas voces sobre el empleo por parte de Sony de otro sistema de protección anticopia y que no se ha retirado, llamado MediaMax, que puede permitir espiar el comportamiento de los usuarios e instala programas sin consentimiento. La discusión de fondo es el llamado Digital Rights Management (gestión de derechos) y su aplicación, resumida en el lema: "Es su propiedad intelectual, pero no su ordenador".
SONY: http//cp.sonybmg.com/xcp KRIPTOPOLIS: www.kriptopolis.org/node/1454 DOXPARA: www.doxpara.com RUSSINOVICH: www.sysinternals.com/blog/ CD AFECTADOS: www.idiotabroad.com/ ?p=58 ANTIVIRUS: www.vsantivirus.com/ 14-11-05.htm DESINSTALACIÓN: www.vsantivirus.com/ vul-codesupport-161105.htm XCP:www.schneier.com/blog/archives/ 2005/11/more_on_sonys_d.html
Cómo saber si un CD está afectado
Sony asegura que en España ninguno de sus discos lleva el polémico sistema anticopia, pero en el caso de haberlo comprado en el extranjero o que sea importado, para averiguar si el disco lleva el programa anticopia hay que examinar el lomo de la caja, donde debe poner: "Content protected". En la parte de atrás habrá algún tipo de mención a las siglas XCP. De las redes de ordenadores afectadas en el mundo, 27.527 están en España, que ocupa el quinto puesto mundial, según el estudio realizado por Kaminsky, por detrás de Japón, Estados Unidos, el Reino Unido y Holanda.
Tu suscripción se está usando en otro dispositivo
¿Quieres añadir otro usuario a tu suscripción?
Si continúas leyendo en este dispositivo, no se podrá leer en el otro.
FlechaTu suscripción se está usando en otro dispositivo y solo puedes acceder a EL PAÍS desde un dispositivo a la vez.
Si quieres compartir tu cuenta, cambia tu suscripción a la modalidad Premium, así podrás añadir otro usuario. Cada uno accederá con su propia cuenta de email, lo que os permitirá personalizar vuestra experiencia en EL PAÍS.
En el caso de no saber quién está usando tu cuenta, te recomendamos cambiar tu contraseña aquí.
Si decides continuar compartiendo tu cuenta, este mensaje se mostrará en tu dispositivo y en el de la otra persona que está usando tu cuenta de forma indefinida, afectando a tu experiencia de lectura. Puedes consultar aquí los términos y condiciones de la suscripción digital.